КУРС · 5 МЕСЯЦЕВ · ПОТОК ИДЁТ · НАБОР ЗАКРЫТ

Превратите
свой
пайплайн
в крепость

Большой практический курс
по DevSecOps.

За 5 месяцев научитесь строить безопасные пайплайны своими руками - от первого SAST-скана
до vulnerability management в ASOC.

Учит команда действующих практиков, которые сами строят DevSecOps в продуктовой разработке.

Набор закрыт · следующий поток этой осенью Скачать программу PDF
5 месяцев · 2 занятия в неделю · 12 модулей · EverBank: 16+ микросервисов · Удостоверение о повышении квалификации + Сертификат Ever Secure
EVER SECURE
CI / CD DEPLOY PIPELINE // LIVE
DEPLOY  ROLLOUT
BUILD    STAGE
INFRA   TERRAFORM
DAST   / ATTACK

Что в этом курсе по-другому

4 вещи, которые отличают курс от других DevSecOps-программ

Главный артефакт курса — EverBank

EverBank — полноценное учебное банковское приложение из 16+ микросервисов на Java/Spring, Go (gRPC), Python (FastAPI/Flask) и React/TypeScript, с PostgreSQL, Redis, MinIO, Kafka и Nginx-gateway. В коде, зависимостях, Dockerfile, CI-конфигах и инфраструктуре намеренно посажены десятки закладок сразу под все классы сканеров: SAST, SCA, Secret Detection, Container Security, DAST по REST.

Это сквозной проект. Один и тот же EverBank вы прогоняете через весь пайплайн: от первого SAST-скана до финального dashboard'а в ASOC-платформе. К концу курса в вашем активе — опыт развёртывания DevSecOps-пайплайна для приложения уровня настоящего банка. Не один сервис, а целая микросервисная экосистема.

Теория есть, но акцент — на руки

Без теории в DevSecOps никак: вы разбираете, как работают движки SAST, что такое taint analysis, как устроена цепочка эксплуатации каждого класса уязвимостей. Но теория не самоцель, а инструмент.

Каждый технический модуль — это не лекция и пара упражнений после, а полноценный практический блок: натравили сканер на EverBank, получили десятки реальных находок, разобрали каждую руками, починили, перезапустили пайплайн, убедились, что починили.

20+ CTF-стендов по классам уязвимостей

Прежде чем сканировать, нужно понимать, что именно сканер ищет. В модуле 0 — 20+ отдельных CTF-стендов на реалистичных микросервисных приложениях: SQLi (in-band / blind / OOB), SSRF, SSTI в Jinja2, XXE, IDOR, CSRF с headless-ботом, Mass Assignment, Path Traversal, Insecure Deserialization, Prototype Pollution, OS Command и Code Injection, Race Conditions / TOCTOU (DNS rebinding, symlink swap), Business Logic в логике мини-банка.

Курс ведёт команда практиков

Программа собрана и читается командой преподавателей — действующих специалистов, которые сами строят DevSecOps-процессы в продуктовой разработке. Вы не услышите про DSOMM как про абстрактную модель — увидите, как поэтапно перевести команду по этой модели и какие реальные грабли ждут на каждом уровне. После каждого модуля — индивидуальный созвон с преподавателем, где вы разбираете свою работу один на один.

Формат

Большой курс с практикой на каждом модуле

Темп комфортный для тех, кто учится параллельно с работой: видео и конспекты, в записи, практика, на собственном стенде курса.

5 месяцевДлительность потока. Учитесь в своём темпе, параллельно с работой.
2 занятия / неделюВидео плюс домашнее задание на EverBank или CTF-стенде + методические материалы.
Живые созвоныРазбор работ и ошибок с преподавателем, обсуждение кейсов студентов.
99 000 ₽ 125 000 ₽Pre-order, цена до старта потока.
12 модулейБонусный вводный модуль 0, далее уязвимости, пайплайн и итоговая работа на EverBank.
EverBank · 16+ сервисовСквозной артефакт курса: Java/Spring, Go (gRPC), Python, React.
24 CTF-стендаПо классам уязвимостей + итоговый киллчейн, модуль 1.
Удостоверение ДПОУдостоверение о повышении квалификации установленного образца + финальная работа в ASOC.

Кому подойдёт

Для кого этот курс

Курс рассчитан на инженеров и руководителей, которым DevSecOps нужен не «для общей эрудиции», а как рабочий инструмент.

Системные администраторы

Хотите перейти в DevOps / DevSecOps. У вас уже есть фундамент по Linux, сетям и инфраструктуре, мы добавим к нему пайплайны, контейнеры, IaC и безопасность.

DevOps-инженеры

Хотите двинуться в безопасность. Вы уже умеете строить CI/CD, мы научим встраивать в него SAST/DAST/SCA, контейнерные и IaC-сканеры, secret detection и vulnerability management, не убивая скорость поставки.

Начинающие в DevSecOps

Нужно системно собрать в голове всю картину, от мышления атакующего до управления уязвимостями. У вас уже есть базовый опыт с пайплайнами, осталось собрать практики безопасности в единый процесс.

AppSec-инженеры, идущие в автоматизацию

Знаете уязвимости, мы покажем, как из их поиска вручную сделать конвейер, который ловит то же самое автоматически на каждом коммите.

Тимлиды и инженерные руководители

Нужно принимать решения о внедрении DevSecOps в своей команде. Получите не только техническую базу, но и стратегию: как поэтапно зреть команду по DSOMM, какие инструменты вводить в каком порядке, как разговаривать на одном языке с разработкой, ИБ и руководством.

Разработчики

Вы уже знаете, как ваши приложения устроены изнутри: код, фреймворки, базы, очереди. Мы обогатим этот опыт практикой безопасной разработки и автоматизации, чтобы защита работала на каждый коммит, а не висела отдельным процессом сбоку.

Не уверены, что подойдёт? Пройдите короткий тест за 2 минуты — 6 вопросов по Linux, сети, HTTP и чтению кода. Поймёте, насколько комфортно будет на потоке.

Пройти тест →

Результат

Что вы будете уметь после курса

Конкретные действия, не «понять основы», а «настроил и сдал в работу».

Безопасность как инженерия

  • Смотреть на код и инфраструктуру глазами атакующего: видеть, где сломается, и понимать, насколько критично.
  • Своими руками эксплуатировать ключевые классы веб-уязвимостей, не как стрелять по бумажным мишеням, а на полноценных приложениях.
  • Проектировать CI/CD-пайплайн end-to-end: от коммита до прода, с контролем качества и безопасности на каждом этапе.
  • Встраивать в пайплайн SAST, DAST, SCA, Secret Detection, IaC- и контейнерные сканеры, и не превращать его в тыкву.
  • Писать собственные правила для SAST (Semgrep) и Quality Gates под политики безопасности своей компании.

Процесс и метрики

  • Разбирать результаты сканирований: подтверждать находки, отсеивать false positive, ставить приоритеты, выпускать в работу.
  • Строить процесс Vulnerability Management: ASOC/ASPM, агрегация находок, интеграция с Jira, метрики и SLA.
  • Применять модель зрелости DSOMM и понимать, что и в какой момент встраивать в процесс.
  • Превращать политики безопасности и compliance-требования в код, который проверяется автоматически.
  • Разговаривать на одном языке и с разработкой, и с инфраструктурой, и с безопасностью, это то, что отличает крепкого DevSecOps-инженера от просто «парня со сканером».

Программа

Программа курса

Модуль 0, вводная лекция: обзор курса, маршрут по модулям и инструменты. Модуль 1, фундамент по уязвимостям на 24 CTF-стендах. Модули 2–11, сквозной пайплайн на EverBank, от SAST до compliance-as-code. Модуль 12, итоговая работа: собрать всё в одной ASOC-платформе.

00Вводная лекция+

Зачем этот курс и какую проблему бизнеса решает DevSecOps, чему вы научитесь за поток и каким специалистом выйдете. Знакомимся с преподавателями-практиками, разбираем карту курса и маршрут по всем модулям, готовим рабочее место и инструменты, которые понадобятся.

1 занятие
  1. Занятие 1Вводное занятие
01Уязвимости+

Фундамент, без которого DevSecOps превращается в шаманство со сканерами. Своими руками эксплуатируете 20+ классов веб-уязвимостей (SQLi, SSRF, SSTI, XXE, IDOR, CSRF, Mass Assignment, Race Conditions, Business Logic) на отдельных CTF-стендах по OWASP Top 10, а в итоговой работе связываете их в единый киллчейн.

8 занятий · 24 лабы
  1. Занятие 1Broken Access Control
    IDOR · Path Traversal · CSRF · Open Redirect, 4 лабы
  2. Занятие 2Security Misconfiguration + SSRF
    SSRF · Nginx Misconfiguration · XXE, 3 лабы
  3. Занятие 3Vulnerable Components + Cryptographic Failures + Injection (ч.1)
    Vulnerable Dependency · Trust Me, I'm a Cookie · SQL Injection · NoSQL Injection, 4 лабы
  4. Занятие 4Injection (ч.2)
    XSS · SSTI · OS Command Injection · Code Injection, 4 лабы
  5. Занятие 5Insecure Design + Integrity Failures (ч.1)
    Business Logic · Race Condition / TOCTOU · Insecure Deserialization · Prototype Pollution, 4 лабы
  6. Занятие 6Integrity Failures (ч.2) + Logging & Monitoring Failures
    Mass Assignment · Log Forgery · Log Exposure · Loose Lips, 4 лабы
  7. Занятие 7Итоговая работа, киллчейны или цепочки уязвимостей
    Epstein Island: обход клиентской валидации · утечка секретов · IMDS · IAM misconfiguration · role injection · LPE · побег из контейнера
  8. Занятие 8Разбор с преподавателем
    Живой созвон: вопросы, обсуждение решений и реальных кейсов
02Введение в основы DevOps+

DevOps как культура и набор практик: люди, процессы, технологии. Различие Continuous Integration / Delivery / Deployment, устройство пайплайна end-to-end, типовые ловушки и антипаттерны.

3 занятия
  1. Занятие 1DevOps: люди, процессы, технологии
  2. Занятие 2Создание пайплайна для web-приложений
  3. Занятие 3Основные сложности при использовании пайплайна
03Инструменты DevOps+

Технологический ландшафт современного DevOps: SCM, базовая работа в Linux, контейнеризация, управление конфигурациями и инфраструктурой, CI/CD-платформы. Учимся собирать рабочий пайплайн под задачу.

7 занятий
  1. Занятие 1Введение в Linux и основной инструментарий для настройки и обслуживания
  2. Занятие 2Основы работы с Git
  3. Занятие 3IaC — здоровая основа любой инфраструктуры (Ansible)
  4. Занятие 4IaC — здоровая основа любой инфраструктуры (Terraform)
  5. Занятие 5Основы Docker
  6. Занятие 6GitLab CI
  7. Занятие 7Разбор с преподавателем
04DevSecOps+

Переход от DevOps к DevSecOps без потери скорости поставки: Secure SDL, ключевые принципы безопасной разработки, модели зрелости (DSOMM). Главный навык, понимать, что и в какой момент имеет смысл внедрять.

4 занятия
  1. Занятие 1От SDL к DevSecOps
    Базовые подходы к разработке ПО, Secure Software Development LifeCycle, что такое DevSecOps. Основные принципы имплементации безопасности в жизненный цикл разработки. Обзор ключевых практик безопасности и их места в жизни ПО.
  2. Занятие 2Оценка зрелости процессов безопасной разработки в компании
  3. Занятие 3Embedding DevSecOps into pipeline
    Встраивание практик безопасности в CI/CD-конвейер на практике.
  4. Занятие 4Разбор с преподавателем
05Поиск секретов (Secret Detection)+

API-ключи, токены и пароли в коде, частая причина инцидентов. Подходы к поиску (статический, энтропийный, паттерн-матчинг), интеграция в CI/CD и pre-commit hooks, политики хранения и ротации.

1 занятие
  1. Занятие 1Secret Detection. Gitleaks
    Как понять, что секреты утекают, где искать и какие они бывают. Имплементация secret detection в GitLab CI на Gitleaks. Какие виды анализаторов существуют, как выбрать и внедрить у себя.
06Статический анализ (SAST)+

Поиск уязвимостей в исходном коде до прода: подходы и движки, интеграция в пайплайн, кастомизация правил, отсев false positive.

6 занятий
  1. Занятие 1Введение в SAST
    Как и зачем появился SAST, что такое статический анализ. Regex, AST, Semgrep CE: первые правила. Тест.
  2. Занятие 2Продвинутые виды анализа: от AST к Taint Analysis
    CFG, ICFG, Dataflow, Taint Analysis. CodeQL и Semgrep CE: пишем правила и смотрим, что находят. Тест.
  3. Занятие 3SAST на рынке: выбираем решения
    Движок плюс правила, рынок инструментов: SonarQube, Semgrep, CodeQL. Как писать правила. Практика.
  4. Занятие 4Внедрение SAST в DevSecOps
    Режимы, Security Gateway, Shift Left. Практика.
  5. Занятие 5SAST как процесс
    Триаж, оптимизация правил. Практика.
  6. Занятие 6Разбор с преподавателем
    Живой созвон: вопросы, обсуждение решений и реальных кейсов. Финальное тестирование.
07Компонентный анализ (SCA)+

Большая часть кода, сторонние библиотеки. Работа с пакетными менеджерами и lock-файлами, понятие SBOM, платформы управления уязвимостями зависимостей, разбор находок и false positive.

3 занятия + опциональное
  1. Занятие 1Как понять состав своего ПО
    Какие виды зависимостей и пакетных менеджеров бывают, что такое SBOM, как выбрать и подключить SBOM. Практика.
  2. Занятие 2Имплементация SCA в GitLab CI
    Как выбрать и подключить анализатор состава ПО. Практика.
  3. Занятие 3Разбор с преподавателем
    Живой созвон: вопросы, обсуждение решений и реальных кейсов.
  4. ОпциональноДополнительное занятие: SCA и достижимость
    Анализ достижимости уязвимых зависимостей (reachability): govulncheck, cdxgen, dep-scan. Практика.
08Инфраструктура как код (IaC)+

Открытые порты, слишком широкие IAM, публичные бакеты, дорогие уязвимости. Сканирование IaC и Kubernetes-манифестов до развёртывания, бенчмарки безопасности, разбор реальных мисконфигов.

1 занятие
  1. Занятие 1Сканирование IaC и Kubernetes-манифестов
    Что такое IaC-misconfigurations и почему они стоят дорого (открытые порты, слишком широкие IAM, публичные S3-бакеты, privileged-контейнеры). KICS. Интеграция в pipeline до развёртывания (shift-left).
09Безопасность контейнеров+

Контейнер, это код приложения, базовый образ, рантайм и реестр. Сканирование образов и Dockerfile, защищённый реестр, политика жизненного цикла образов, работа с подписями.

4 занятия + опциональное
  1. Занятие 1Харденинг контейнеров
  2. Занятие 2Сканирование Dockerfile и образа контейнера на мисконфигурации
    KICS, Dockle.
  3. Занятие 3Сканирование образа контейнера на CVE
    Trivy, Harbor.
  4. Занятие 4Разбор с преподавателем
  5. ОпциональноПобеги из контейнеров
10Динамический анализ (DAST)+

Тестирование работающего приложения с позиции атакующего. Аутентифицированное сканирование, разбор ложных срабатываний.

3 занятия + опциональное
  1. Занятие 1Введение в DAST
    Что это и где его место в пайплайне. Аутентифицированное сканирование, проброс сессии.
  2. Занятие 2Сканирование API
    В чём отличия API-сканирования от веб-приложений, работа со Swagger/OpenAPI.
  3. Занятие 3Разбор с преподавателем
  4. ОпциональноDAST для нестандартных протоколов
    Тестирование gRPC.
11Управление уязвимостями (VM)+

Сканеры найдут сотни уязвимостей, и тут самое интересное начинается. VM-процесс end-to-end в ASOC/ASPM: агрегация и дедупликация находок всех сканеров по 16 микросервисам EverBank, интеграция с Jira, метрики и SLA.

3 занятия
  1. Занятие 1VM-процесс и ASOC-платформа
    Что такое VM-процесс end-to-end (агрегация → дедупликация → триаж → приоритизация → remediation → метрики). DefectDojo, Jira как ticketing backend.
  2. Занятие 2Триаж, SLA, метрики, интеграция с Jira
    Процесс триажа (валидация, отсев false positive, перенос в backlog vs deferred risk). SLA по критичности (P0/P1/P2 и сроки). Интеграция с Jira: создание задач, синхронизация статусов.
  3. Занятие 3Разбор с преподавателем
12Compliance-as-a-code, итоговая работа+

Превращаем требования (внутренние стандарты, регуляторные нормы) в проверяемые правила прямо в пайплайне: Quality Gates, описание политик как кода, конфигурация CI-платформы под compliance-требования. Итоговая работа: собираем compliance-проверки в единый пайплайн EverBank, кейс для портфолио.

2 занятия + итоговая аттестация
  1. Занятие 1Политики как код
    Что такое compliance в DevSecOps (внутренние стандарты, ФСТЭК, ISO 27001, PCI DSS, SOC 2 — что из этого реально применимо). Quality Gates, GitLab CI, Conftest. Как превратить compliance-чеклист в проверяемый код.
  2. Занятие 2Итоговая работа — единый pipeline EverBank
    Архитектура «единого пайплайна»: какие сканеры в каком порядке, какие Quality Gates на каждом этапе, как настроить ASOC (DefectDojo) для аккумуляции, как отдавать метрики наверх. Что входит в защиту итоговой работы.
  3. Итоговая аттестацияЗащита итоговой работы
    Собеседование с преподавателем: студент показывает свой pipeline, объясняет принятые решения, отвечает на вопросы. На выходе — фидбэк и удостоверение о повышении квалификации, если защита успешная.

Полная программа с разбивкой по урокам публикуется до старта потока.

Тариф

Один курс, всё включено

EverBank, 24 CTF-стенда, финальная работа в ASOC и удостоверение о повышении квалификации. Набор на текущий поток закрыт, он уже идёт. Следующий поток стартует этой осенью, запись в лист ожидания открыта.

99 000 ₽ 125 000 ₽
  • 12 модулей видео + текстовые конспекты на edu.eversecure.ru
  • EverBank и 24 CTF-стенда на всё время курса + 14 дней после
  • Финальная работа в ASOC-платформе по находкам всех сканеров
  • Финальный тест + удостоверение о повышении квалификации установленного образца (программа ДПО, лицензия Минобр Пензенской)
  • Чат потока в Telegram
Набор закрыт · следующий поток этой осенью

Текущий поток уже идёт. Запишитесь в лист ожидания, забронируем место в следующем потоке и сообщим дату старта.

  • Возврат: 100% в течение 14 дней после старта потока, если поняли, что курс не подходит.

Преподаватели

Учат те, кто сейчас строит безопасность руками

Подробнее о команде → О нас

FAQ

Частые вопросы

В каком формате идёт курс?

Курс гибридный, материалы лекций и методические материалы по прохождению лабораторных доступны в личном кабинете на протяжении всего потока. Параллельно, 2 домашних работы в неделю с практикой на EverBank или CTF-стендах. Длительность потока, 5 месяцев, материалы и лабораторные работы доступны в течение года с начала потока. Чат потока в Telegram идёт параллельно курсу.

Можно ли смотреть в записи?

Да. Все материалы, в записи изначально. Групповые разборы по темам тоже записываются и появляются в личном кабинете в течение суток.

Выдаёте ли удостоверение?

Да. По итогу курса выдаём удостоверение о повышении квалификации установленного образца (программа дополнительного профессионального образования, лицензия № Л035-01221-58/04457900 от 26.02.2026, Министерство образования Пензенской области). Удостоверение вносится в ФИС ФРДО, признаётся работодателями и подходит для подтверждения квалификации в HR.

Нужен ли опыт?

Да. Мы рассчитываем, что у вас есть опыт администрирования Linux, вы работали с bash и любым языком программирования. Если вы только начинаете в IT, сначала освойте базовые навыки работы с Linux, напишите хотя бы один CI/CD-пайплайн, поработайте с клиент-серверными приложениями, чтобы лучше понимать их архитектуру, потом приходите сюда.

Хотите проверить базу прямо сейчас? Пройдите короткий тест готовности — 6 вопросов на 2 минуты.

Когда стартует ближайший поток?

Старт продаж 06.2026, старт обучения 20.06. Длительность потока, 5 месяцев. Следующий старт, обычно через 6–8 недель после текущего; точная дата объявляется в Telegram-канале и в личном кабинете для тех, кто записан в waitlist.

Что происходит после оплаты?

После оплаты в течение дня на e-mail придёт письмо со ссылкой на личный кабинет edu.eversecure.ru. Там все материалы курса и чат потока с преподавателями в мессенджере.

Можно оплатить от компании?

Да. Договор и счёт от ООО «ЭВЕР СЕКЬЮР» (ИНН 5800014604), за 1 рабочий день. Реквизиты заполняются в форме записи, далее, переписка с менеджером по почте. Закрывающие документы, стандартный пакет: акт + счёт-фактура (УПД при необходимости). Для команд от 5 человек, корпоративные условия, напишите на contact@eversecure.ru.

Перенос и возврат

Если поняли в первые 14 дней после старта, что курс не подходит, возвращаем 100% стоимости. Если нужно перенести участие на следующий поток, напишите в поддержку, переносим без штрафа один раз.

Остались вопросы?

Свяжитесь с нами

Расскажите про задачу, ответим по программе, формату, оплате и доступу к курсу. Форма ниже, или напишите на contact@eversecure.ru.

ЛК
Курсы
Корпоративное обучение Community скоро О нас ЛК